证书透明(Certificate Transparency)是一个RFC 国际标准(RFC 6962、RFC 9162),意在实时监测CA系统被黑或者CA机构草率签发的不是用户自愿申请的SSL证书,和让浏览器能及时阻止非法证书的使用,以保护https加密安全。
由谷歌发起的证书透明日志系统从2013年开始已经记录了74亿张SSL证书,并以每月至少1亿多张的速度在不断增加中。从谷歌浏览器68版本开始(2018年5月)就已经强制要求全球所有CA签发的每一张SSL证书都必须提交到指定的证书透明日志中才会被浏览器信任,有效地保障了SSL证书的自身安全。
借助证书透明日志,网站主、浏览器、学者和其他感兴趣的人都可以分析和监控日志。他们能够看到哪些 CA 在何时以及为哪些域名颁发了SSL证书。
证书透明日志使用一种特殊的加密机制,即Merkle树,来允许公开审计。具有三个特点:
目前,由谷歌牵头运行的证书透明日志系统(简称为:国际证书透明)仅记录全球信任的RSA或ECC算法的SSL证书,不支持国密算法SM2 SSL证书,无法用于保障国密SSL证书的安全。
国密证书透明日志系统由零信技术秉承零信任理念牵头研发并运行和维护,参考并依据RFC 6962和RFC9162国际标准,功能同国际证书透明日志系统完全一样,但日志数据数字签名算法采用国密算法SM2实现,为国密SSL证书提供了一个更多一层的安全保护,也为部署国密SSL证书的网站提供一个更多一层的安全保护。
目前,零信浏览器已经预置了3个由零信技术运维的证书透明日志服务,证签技术和零信技术签发的所有国密SSL证书都已经提交到这3个日志服务系统中。
都可以加入国密证书透明计划,共同为保障国密SSL证书的安全,特别是保障采用国密SSL证书的网站安全贡献一份力量。
这是全球第一个采用国密SM2算法实现的证书透明日志系统,并率先为证签技术和零信技术签发的国密SSL证书提供证书透明日志服务,增强用户对其签发的国密SSL证书的信心和信任。欢迎其他签发国密SSL证书的CA使用零信国密证书透明日志服务系统,为其签发的国密SSL证书提供透明保护。
零信国密证书透明日志服务仅接受国密SM2算法签发的SSL证书,暂时仅限于零信浏览器信任的根证书签发的国密SSL证书。
零信国密证书透明日志服务系统已经部署运行3套:https://log.sm2ct.cn,https://sm2ct.cersign.cn, https://log.sm2ct.com,分别位于京东云广州节点、腾讯云广州节点和中国电信天翼云贵州节点。目前零信浏览器仅要求SSL证书中至少含有一个或两个SCT数据,待有更多的国密证书透明日志系统后视情况增加SCT数据数量要求。
零信国密证书透明日志系统除了为零信浏览器信任的CA机构提供国密SSL证书透明日志服务外,还会自动接受零信浏览器自动收集到的没有提交到零信国密证书透明日志系统的国密SSL证书,供互联网用户公开查询。
了解详情